[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Frage zur SSH Kennung

Am Mittwoch, den 06.07.2005, 22:31 +0200 schrieb Joerg Zimmermann:

[Versions-Anzeige und "security by obscurity"]
> > 
> > Und wieso gehört das nicht zu: security thru obscurity?
> > Es sagt ja keiner das das der einzige Schutz ist, aber eben eine 
> > zusätzliche Maßnahme.
> 
> 'security thru obscurity' ist wenn Du ssh auf dem Port, sagen wir
> mal 737 machst, oder deine /etc/passwd in
> /usr/lib/geheimepasswoerter umbennenst.
> Es ist nichts obscures daran, einem potenziellen Angreifer keine
> unnötigen Informationen zu liefern.

Du irrst :) "Obscurity" heißt nicht nur "obskur/Obskurität", so wie wir
es im Deutschen verwenden. Es heißt auch "Unklarheit". Genau das
erreichst du, indem du die Information über die Version verbirgst - also
den potentiellen Angreifer über die Version im Unklaren lässt. Das ist
zweifelsfrei: "security by obscurity".

> Genau genommen, ist genau das
> einer wichtigsten Grundsätze zur Sicherheit in IT-Systemen.

Warum erzeugt "security by obscurity" nur immer diesen negativen
Anklang?

MfG Daniel
Reply to: